Dnia 4 kwietnia 2024r. na stronie NIK ukazały się pokontrolne wykazy wystąpień pokontrolnych dokonanych w samorządach – Skrót prasowy po kontroli NIK oraz wykaz wystąpień pokontrolnych.

Kontrola dotyczyła “Zapewnienia bezpieczeństwa teleinformatycznego przez jednostki samorządu terytorialnego województwa zachodniopomorskiego”.

NIK przeprowadziła kontrolę czterech jednostek samorządu terytorialnego w województwie zachodniopomorskim, w tym 4 Urzędy Gminy o liczbie mieszkańców do 10 tysięcy osób.

Niepokojące naruszenia wykryte przez NIK

Sama kontrola obejmowała niewielką liczbę jednostek (w porównaniu do województwa zachodniopomorskiego, które posiada 134 jednostki samorządu terytorialnego), ale jej wyniki są bardzo niepokojące. Kontrola została przeprowadzona w ostatnim kwartale zeszłego roku i obejmowała okres od 2019 do 2023 roku, w tym okres, kiedy w Polsce obowiązywał trzeci stopień alarmowy CRP (CHARLIE-CRP), wprowadzony wobec zagrożenia o charakterze terrorystycznym.

Kontrola NIK miała przede wszystkim zweryfikować:

• organizację ochrony przed cyberzagrożeniami przez urzędy (m.in. gdzie znajdowały się serwery i jak wyglądała ich fizyczna ochrona);
• zarządzanie środowiskiem informatycznym przez urzędy, (np. czy posiadały odpowiednie i należycie skonfigurowane oprogramowanie zabezpieczające, czy wykorzystywały aktualne, pozbawione luk oprogramowanie);
• reagowanie urzędów na pojawiające się incydenty teleinformatyczne;
• aktualny stan wiedzy pracowników na temat bezpiecznego korzystania z systemów informatycznych.

Warto na samym początku zaznaczyć, że kontrola obejmowała zarówno kwestie techniczne, organizacyjne, jak i kompetencyjne w Jednostkach. Sprawdzono sprzęt i jego zabezpieczenia, polityki i procedury, a także wiedzę i umiejętności pracowników urzędu dotyczące podstawowej wiedzy z zakresu cyberbezpieczeństwa.

Mimo że badano tylko niewielką liczbę samorządów, NIK wykazał między innymi, że:

• istnieją nieprawidłowości w posiadanej dokumentacji (SZBI);
• nie są regularnie przeprowadzane analizy ryzyka i audyty KRI;
• brak dokumentowanych w rejestrze incydentów zgłoszeń skierowanych do CSIRT NASK;
• część serwerów nie jest objęta wymaganą fizyczną ochroną;
• brak potwierdzeń przeprowadzanych procedur odtwarzania utraconych zasobów;
• pracownicy mają niewielką wiedzę z zakresu cyberbezpieczeństwa;
• nie stworzono zinwentaryzowanego środowiska informatycznego;
• zgłoszenie osoby odpowiedzialnej za komunikację z CSIRT NASK było dokonywane zbyt późno;
• wykonywanie audytów KRI przez zatrudnionego na umowę IOD.

Te oraz wiele innych działań mogą wiązać się z nieprzyjemnymi konsekwencjami dla funkcjonowania urzędu. Za najważniejsze skutki można wymienić:

• trwałą utratę danych lub ich udostępnienie osobom nieuprawnionym;
• ujawnienie poufnych informacji lub uprawnień do innych systemów;
• zainstalowanie przez cyberprzestępców oprogramowania, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych, w celu wyłudzenia środków finansowych;
• zakłócenia w świadczeniu usług publicznych dla obywateli;
• wykorzystanie luk istniejących w systemach, w tym włączenie komputerów do sieci typu “botnet”, która może być wykorzystywana do działań przestępczych sterowanych z zewnątrz;
• brak możliwości wychwytywania incydentów, a także brak reakcji w przypadku ich wystąpienia.

Czy wiedza pracownika w zakresie cyberbezpieczeństwa ma znaczenie?

NIK przeprowadził test z zakresu cyberbezpieczeństwa w celu oceny wiedzy pracowników. Z wyników testu wynika, że:

• 60% pracowników nie potrafi rozpoznać sytuacji, w której mogliby paść ofiarą phishingu;
• 75% pracowników nie zna zasad tworzenia bezpiecznego hasła;
• 75% pracowników nie potrafi zabezpieczyć urządzeń mobilnych w przypadku kradzieży;
• 78% pracowników nie potrafi rozpoznać objawów zainfekowania komputera wirusem;
• 94% pracowników nie wie, jakie kroki podjąć w przypadku zainfekowania komputera;
• 94% pracowników nie zna konsekwencji nieostrożnego korzystania z serwisów społecznościowych.

Te wyniki świadczą o tym, że przy tak niskiej świadomości z zakresu cyberbezpieczeństwa, pracownicy narażają jednostkę na wiele niebezpieczeństw, w tym utratę ważnych danych. Warto rozważyć cykliczne organizowanie szkoleń dla pracowników dotyczących cyberbezpieczeństwa. Pracownik, który ma niską świadomość zagrożeń związanych z cyberprzestępczością, jest jeszcze bardziej niebezpieczny niż brak aktualnej licencji antywirusowej. Oczywiście, należy zadbać o posiadanie aktualnych licencji na oprogramowanie, ale równie ważne jest pamiętanie o aspekcie ludzkim, który odgrywa kluczową rolę w cyberbezpieczeństwie. Człowiek bez znajomości jakichkolwiek zasad jest w stanie wywołać najwięcej szkód, a w cyberbezpieczeństwie szkody są nieraz bardzo kosztowne.

Co można zrobić, aby było lepiej w samorządach?

Najważniejsze działania, które NIK zaproponował do poprawy bezpieczeństwa informacji w samorządach to:

• Regularne wykonywanie audytów z zakresu bezpieczeństwa informacji;
• Regularne wykonywanie analizy ryzyka;
• Przegląd i zaktualizowanie posiadanej dokumentacji (w tym System Zarządzania Bezpieczeństwem Informacji, Polityka Bezpieczeństwa Informacji, wszelkie procedury związane z kopiami zapasowymi, zachowaniem ciągłości działania i odtworzenie utraconych zasobów);
• Regularne organizowanie szkoleń z zakresie cyberbezpieczeństwa;
• Regularne wykonywanie inwentaryzacji całego zasoby informatycznego;
• Zapewnienie braku konfliktów interesów audytora przeprowadzającego audyt systemu zarządzania bezpieczeństwem informacji;
• Regularne weryfikowanie i aktualizowanie posiadanych oprogramowani i licencji
• Zapewnienie stosowania haseł do systemu zgodnie z obowiązującym w Jednostce SZBI.

Dlaczego według NIK zatrudniony w urzędzie Inspektor Ochrony Danych nie mógł wykonywać audytów i diagnoz z zakresu bezpieczeństwa informacji?

W ocenie NIK przypisanie do zadania IOD możliwości wykonywania audytu polityki bezpieczeństwa informacji powoduje powstanie konfliktu interesów. Audytor powinien podczas audytu weryfikować przestrzeganie zgodności działań urzędu z przepisami prawa, uwzględniając przepisy RODO. IOD w urzędzie jest odpowiedzialny m.in. za decydowanie o stosowaniu przepisów RODO w urzędzie.

Z tego wynika, że aby uniknąć konfliktu interesów, najlepiej, aby audytorem była osoba, która nie jest odpowiedzialna za obszary opisane w SZBI i KRI. W ten sposób istnieje szansa na zachowanie obiektywnego spojrzenia specjalisty i uniknięcie konfliktu interesów w urzędzie.

Bezpieczeństwo informacji – Doering & Partnerzy

Zastanawiasz się, kto może pomóc w przygotowaniu dokumentów i dostosowaniu procedur zgodnie z obowiązującymi przepisami? Nie miałeś/aś wcześniej możliwości przeprowadzenia audytu bezpieczeństwa informacji przez zewnętrznego specjalistę? Zastanawiasz się, w jaki sposób możesz poprawić bezpieczeństwo informacji, jak i poziom cyberbezpieczeństwa w swoim urzędzie? Nie wiesz, czy pracownicy urzędu są odpowiednio wyszkoleni z zakresu cyberbezpieczeństwa?

Jeśli na któreś z tych pytań odpowiedziałeś/aś tak, to wiedz, że możesz liczyć na naszą pomoc. Skontaktuj się z nami, a chętnie Ci pomożemy.

Zapraszamy do współpracy

Zobacz nasze usługi:

Audyt bezpieczeństwa informacji

Bezpieczeństwo informacji

Audyt cyberbezpieczeństwa

Szkolenie z zakresu cyberbezpieczeństwa

Inspektor Ochrony Danych – RODO/IOD

Zobacz więcej:

Bezpieczeństwo informacji w JST

Cyberslashing – czym jest i jak się przed tym chronić

Jak zapewnić bezpieczeństwo informacji? Krok po kroku.

Szkolenie w zakresie ochrony danych na przykładzie szpitala

Bezpieczeństwo skrzynek elektronicznych w podmiotach publicznych.

Cyberbezpieczny Samorząd. Jak zrealizować grant?

Jak audyt bezpieczeństwa wygląda w praktyce?

Alarmujący raport NIK o ochronie danych w urzędach